說明

打強網杯的時候一直在寫論文， 做林逸師傅的培訓題目。 現在得空，還是看了一部分的題目和wp。

源碼

源碼一共三部分， 這里只寫下我知識盲區的一部分，作為自己的記錄。

<?php
highlight_file(__FILE__)；
$flag=file_get_contents('ssrf.php');
class Pass
{
      function read()
      {
            ob_start();
            global $result;
            print $result;
      }
}
class User
{
      public $age,$sex,$num;
      function __destruct()
      {
            $student=$this->age;
            $body=$this->sex;
            $a=$this->num;
            $student->$body();
            if(!(is_string($a)) || !(is_string($body)) || !(is_object($student))  )
            {
                  ob_end_clean();
                  exit();
            }
            globa $$a;
            $result=$GLOOBALS[‘flag’];
            ob_end_clean();
      }
}
if(isset($_GET['x']))
{
      unserialize($_GET['x'])->get_it();
}

解析

上面的源碼只會運行最后4行，而最后四行會調用上面的類。所以容易產生反序列化漏洞。
1、需要想辦法輸出$result.
因為以前無論做PHP開發還是審計的時候，都很少碰緩存相關的東西。這里直接把我難住了， 因為。ob_start()之后的所有數據都會進入緩存，不再打印。
雖然下面也有print $result。但是實際上是存在服務器緩存中，無法打印出來的。
盲區1：啟用緩存之后，當代碼拋出異常之后緩存內容顯示運行結果。
方法：使用傳入序列化的時候讓Num的值等于result覆蓋掉原來的result值。再設置$this->um='this'即可。
第二部分。在摧毀序列化內容的時候，出現變量覆蓋漏洞$$a，這個由a的值this可以直接控制報錯,原來的$$a變成了$this。即上面的num->this的傳值
那么就很明確第一部分，和第二部的作用了。
第一部分，設置$$a
第二部分,反序列化。
那么考點就是，php啟用緩存之后PHP報錯原理以及利用方式。

payload

算了， 沒有。自己去網上找， 一大把。

總結

以上是生活随笔為你收集整理的强网杯web之假的反序列化漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。